WP Video Robot <= 1.20.0 - 通过用户元更新进行身份验证(订阅者+)权限提升(CVE-2024-9192)
CVE编号
CVE-2024-9192
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-16
漏洞描述
WordPress Video Robot - Ultimate Video Importer插件存在特权提升漏洞,该漏洞是由于wpvr_rate_request_result()函数中用户元数据的更新验证不足导致的。所有版本直至并包括1.20.0版本都受到影响。这使得具有订阅者级别访问权限及以上的认证攻击者能够在WordPress网站上更新其用户元数据。这可能会被利用来将他们的权限提升到管理员级别。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论